Durante la celebración del Security Analyst Summiten
Tailandia, el Global Research and Analysis Team (GReAT) de Kaspersky ha
revelado una nueva actividad del grupo APT BlueNoroff a través de
dos campañas altamente sofisticadas dirigidas: GhostCall y GhostHire. Estas
operaciones, aún activas, están orientadas a organizaciones del ecosistema Web3
y de criptomonedas en países como India, Turquía, Australia y varias regiones
de Europa y Asia, y se remontan al menos a abril de 2025.
BlueNoroff, una célula del conocido grupo Lazarus, continúa ampliando su campaña SnatchCrypto, una operación con motivación financiera que tiene como objetivo a empresas del sector cripto a escala global. Las campañas GhostCall y GhostHire emplean nuevas técnicas de infiltración y malware personalizado para comprometer a desarrolladores blockchain y directivos. Ambos ataques afectan principalmente a sistemas macOS y Windows, y se gestionan desde una infraestructura común de mando y control.
La campaña GhostCall se centra en dispositivos macOS y comienza con un elaborado ataque de ingeniería social. Los atacantes contactan con las víctimas a través de Telegram, haciéndose pasar por inversores de capital riesgo. En algunos casos utilizan incluso cuentas comprometidas de empresarios y fundadores de startups reales para simular propuestas de inversión o colaboración. Las víctimas son dirigidas a reuniones falsas a través de páginas de phishing que imitan plataformas como Zoom o Microsoft Teams, donde se les pide “actualizar” el cliente para solucionar un supuesto fallo de audio. Esa “actualización” descarga un script malicioso que desencadena la infección del equipo.
“Esta campaña se basó en un engaño cuidadosamente orquestado. Los atacantes reproducían vídeos de víctimas anteriores durante las reuniones falsas para dar realismo a la llamada y manipular a nuevos objetivos. La información recogida se utiliza no solo contra la víctima inicial, sino también para ataques posteriores o en cadena, aprovechando relaciones de confianza ya establecidas para comprometer a otras organizaciones y usuarios”, afirma Sojun Ryu, investigador de ciberseguridad en Kaspersky GReAT.
Los ciberdelincuentes han desplegado siete cadenas de ejecución en múltiples fases, cuatro de ellas nunca vistas hasta ahora, para distribuir distintos tipos de payloads personalizados: ladrones de criptomonedas, robacredenciales de navegador, extractores de secretos y herramientas para robar credenciales de Telegram.
En la campaña GhostHire, el grupo APT se hace pasar por reclutadores para dirigirse a desarrolladores del ámbito blockchain. A través de esta táctica, inducen a las víctimas a descargar y ejecutar un repositorio de GitHub infectado con malware, que presentan como una prueba de evaluación técnica. Aunque GhostHire comparte infraestructura y herramientas con GhostCall, su enfoque es distinto: en lugar de llamadas falsas, recurre a procesos de selección simulados para llegar a ingenieros con perfil técnico. Tras el primer contacto, la víctima es incorporada a un bot de Telegram que le envía un archivo ZIP o un enlace a GitHub, con una fecha límite para completar la tarea. Al ejecutarlo, el malware se instala en el sistema, adaptado al sistema operativo correspondiente.
BlueNoroff también ha incorporado IA generativa para agilizar el desarrollo de malware y perfeccionar sus técnicas de ataque. Gracias a esta tecnología, han podido incorporar nuevos lenguajes de programación y funcionalidades que dificultan el análisis y la detección. Este enfoque permite al grupo ampliar y gestionar sus operaciones con mayor eficacia, aumentando tanto la complejidad como la escala de los ciberataques.
“La estrategia de este actor ha evolucionado más allá del robo de criptomonedas o credenciales de navegador. El uso de IA generativa ha acelerado este cambio, facilitando el desarrollo de malware y reduciendo el esfuerzo operativo. Esta capacidad permite cubrir lagunas de información y afinar la selección de objetivos. Al combinar datos comprometidos con la analítica de la IA, el alcance de estos ataques se ha multiplicado. Esperamos que nuestra investigación ayude a mitigar su impacto”, añade Omar Amin, investigador sénior de seguridad en Kaspersky GReAT.
El informe completo, junto con los indicadores de compromiso (IoC) está disponible en Securelist.com.
Para reducir el riesgo de sufrir este tipo de campañas, Kaspersky recomienda:
Desconfía de ofertas generosas o propuestas de inversión inesperadas. Verifica siempre la identidad de los nuevos contactos, especialmente si llegan a través de Telegram, LinkedIn u otras plataformas sociales. Usa canales corporativos verificados para cualquier comunicación sensible.
Ten presente que una cuenta legítima puede estar comprometida. Confirma la identidad del remitente a través de canales alternativos antes de abrir archivos o enlaces. Nunca ejecutes scripts o comandos no verificados.
Protege tu empresa con soluciones de la gama Kaspersky Next, que ofrecen protección en tiempo real, visibilidad de amenazas, capacidades de investigación y respuesta (EDR/XDR) adaptadas a empresas de cualquier tamaño o sector.
Considera adoptar servicios de ciberseguridad gestionados de Kaspersky como Compromise Assessment, Managed Detection and Response (MDR) y Incident Response, que cubren todo el ciclo de gestión de incidentes.
Asegura que tu equipo de seguridad cuente con visibilidad sobre las amenazas que afectan a tu organización. La inteligencia de amenazas más reciente de Kaspersky ofrece contexto detallado para anticipar riesgos y responder de forma eficaz.
